Conexión de orígenes de datos a Microsoft Sentinel mediante conectores de datos

Se aplica a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Para conectar orígenes de datos a Microsoft Sentinel, debe instalar y configurar conectores de datos. En este artículo se explica generalmente cómo instalar conectores de datos disponibles en el centro de contenido de Microsoft Sentinel para ingerir y analizar datos para mejorar la detección de amenazas.

Importante

Microsoft Sentinel está disponible con carácter general en el portal de Microsoft Defender, incluidos los clientes sin XDR de Microsoft Defender o una licencia E5.

A partir de julio de 2026, todos los clientes que usan Microsoft Sentinel en Azure Portal se redirigirán al portal de Defender y solo usarán Microsoft Sentinel en el portal de Defender. A partir de julio de 2025, a muchos clientes nuevos se les incorpora y redirige automáticamente al portal Defender.

Si sigue usando Microsoft Sentinel en Azure Portal, se recomienda empezar a planear la transición al portal de Defender para garantizar una transición sin problemas y aprovechar al máximo la experiencia unificada de operaciones de seguridad que ofrece Microsoft Defender. Para obtener más información, consulte Es hora de avanzar: Retirar el portal de Azure de Microsoft Sentinel para obtener una mayor seguridad.

Requisitos previos

Antes de empezar, asegúrese de que tiene el acceso adecuado y de que usted o alguien de su organización instalan la solución relacionada.

Debe tener permisos de lectura y escritura en el área de trabajo de Microsoft Sentinel.
Instale la solución que incluye el conector de datos desde el centro de contenido de Microsoft Sentinel. Para obtener más información, consulte Detección y administración del contenido preconfigurado de Microsoft Sentinel.

Habilitación de un conector de datos

Después de que usted o alguien de su organización instale la solución que incluye el conector de datos que necesita, configure el conector de datos para empezar a ingerir datos.

Para Microsoft Sentinel en el portal de Defender, seleccione Microsoft Sentinel>Conectores de datos. Para Microsoft Sentinel en Azure Portal, en Configuración, seleccione Conectores de datos.
Busque y seleccione el conector. Si no ve el conector de datos que desea, vuelva a comprobar que la solución pertinente está instalada en el centro de contenido.
Seleccione Abrir página del conector.
- Portal de Defender
- Azure Portal
Revise los requisitos previos del conector de datos y asegúrese de que se cumplen.
Siga los pasos descritos en la sección Configuraciones del conector de datos.

Para algunos conectores, busque información de configuración más específica en la sección Recopilación de datos en la documentación de Microsoft Sentinel.
- Conexión de Microsoft Sentinel a Azure, Windows, Microsoft y Amazon Services
- Requisitos previos del conector de datos

Configuración de la retención de datos y la estratificación

Si ha integrado con el lago de datos de Microsoft Sentinel, puede configurar la retención de datos y la clasificación en niveles para el conector de datos. El lago de datos consta de un nivel de análisis: las áreas de trabajo actuales de Microsoft Sentinel y un nivel de lago de datos donde puede almacenar datos durante un máximo de 12 años. Para más información sobre la incorporación, consulte Incorporación al lago de datos de Microsoft Sentinel.

Cuando se habilita un conector, los datos se envían de forma predeterminada al nivel de análisis y se reflejan en el nivel de lago de datos. Configure la retención de datos en cada nivel o envíe los datos solo al nivel de lago de datos. La retención y la creación de niveles se administran desde las páginas de configuración del conector o mediante la página Administración de tablas en el portal de Defender. Para obtener más información sobre la administración y retención de tablas, consulte Administración de niveles de datos y retención en el Portal de Microsoft Defender.

Una vez configurado el conector, configure la retención de datos y la creación de niveles mediante los pasos siguientes:

En la página Detalles del conector , en la sección Administración de tablas , seleccione la tabla que desea administrar.
El panel de tabla se muestra y se ve la configuración de retención actual.
Para configurar la retención, seleccione Administrar tabla.
El panel de Administrar tabla se muestra y se ve la configuración de retención actual. Puede cambiar la configuración de retención para la capa de análisis y la capa de lago de datos. El valor predeterminado es reflejar los datos en el nivel de lago de datos con la misma retención que el nivel de análisis.
En Retención de análisis , seleccione el período de retención para el nivel de análisis.
Para configurar la capa del lago de datos, seleccione un período de retención en la lista desplegable retención total.
Para cambiar el nivel a Data Lake solamente, seleccione el nivel de Data Lake y seleccione un período de retención en la lista desplegable de Retención. Al seleccionar esta opción, se detiene la ingestión en el nivel de análisis.
Seleccione Guardar para guardar los cambios.

Después de configurar el conector de datos, los datos pueden tardar algún tiempo en ingerirse en Microsoft Sentinel. Los datos tardan entre 90 y 120 minutos en ingerirse en el lago de datos. Cuando el conector de datos está conectado, verá un resumen de los datos en el gráfico Datos recibidos y el estado de conectividad de los tipos de datos.

Captura de pantalla de una página del conector de datos con estado conectado y gráfico que muestra los datos recibidos.

Habilitación del análisis de comportamiento de usuarios y entidades (UEBA) desde conectores admitidos

Análisis de comportamiento de usuarios y entidades (UEBA) en Microsoft Sentinel analiza registros y alertas de orígenes de datos conectados para crear perfiles de comportamiento de línea base de las entidades de la organización, como usuarios, hosts, direcciones IP y aplicaciones. Con el aprendizaje automático, UEBA identifica una actividad anómala que puede indicar un recurso en peligro.

Para habilitar UEBA desde conectores de datos admitidos en el portal de Microsoft Defender:

En el menú de navegación del portal de Microsoft Defender, seleccione Conectores de datos de configuración > de Microsoft Sentinel>.
Seleccione un conector de datos compatible con UEBA que admita UEBA. Para obtener más información sobre los conectores y tablas de datos compatibles con UEBA, consulte Referencia de UEBA de Microsoft Sentinel.
En el panel de conexión de datos, seleccione Abrir página del conector.
En la página Detalles del conector , seleccione Opciones avanzadas.
En Configurar UEBA, active las tablas que desea habilitar para UEBA.

Búsqueda de sus datos

Después de habilitar correctamente el conector, el conector comienza a transmitir datos a los esquemas de tabla relacionados con los tipos de datos configurados.

En el portal de Defender, consulte los datos en la página Búsqueda avanzada o en Azure Portal, consulte los datos en la página Registros .
Vaya al Explorador de Data Lake, consultas de KQL para consultar datos en el lago de datos. Para más información, consulte KQL y el lago de datos de Microsoft Sentinel.

Búsqueda de compatibilidad con un conector de datos

Tanto Microsoft como otras organizaciones crean conectores de datos de Microsoft Sentinel. Busque el contacto de soporte técnico desde la página del conector de datos en Microsoft Sentinel.

En la página Conectores de datos de Microsoft Sentinel, seleccione el conector correspondiente.
Para acceder al soporte técnico y mantenimiento del conector, use el vínculo de contacto de soporte técnico en el campo Compatible por en el panel lateral del conector.

Para más información, consulte Compatibilidad con conectores de datos.

Para obtener más información sobre soluciones y conectores de datos en Microsoft Sentinel, consulte los artículos siguientes.

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2026-01-07